JSONज़्यादा सुरक्षा की नीति

आपको Apigee Edge दस्तावेज़ दिख रहा है.
अभी तक किसी भी व्यक्ति ने चेक इन नहीं किया है इस पेज पर जाएं Apigee X दस्तावेज़. जानकारी

क्या

अलग-अलग तरह के हमलों की सीमाएं तय करके, कॉन्टेंट लेवल के हमलों से पैदा होने वाले जोखिम को कम किया जाता है JSON स्ट्रक्चर, जैसे कि कलेक्शन और स्ट्रिंग.

वीडियो: यह छोटा सा वीडियो देखें कि JSONHTMLProtection की नीति का इस्तेमाल करके, कॉन्टेंट लेवल के हमलों से एपीआई को सुरक्षित किया जा सकता है.

वीडियो: Apigee क्रॉस-क्लाउड एपीआई प्लैटफ़ॉर्म पर यह छोटा वीडियो देखें.

एलिमेंट का रेफ़रंस

एलिमेंट के रेफ़रंस में, JSONTheProtection के एलिमेंट और एट्रिब्यूट के बारे में जानकारी दी गई है की नीति देखें.

<JSONThreatProtection async="false" continueOnError="false" enabled="true" name="JSON-Threat-Protection-1">
   <DisplayName>JSONThreatProtection 1</DisplayName>
   <ArrayElementCount>20</ArrayElementCount>
   <ContainerDepth>10</ContainerDepth>
   <ObjectEntryCount>15</ObjectEntryCount>
   <ObjectEntryNameLength>50</ObjectEntryNameLength>
   <Source>request</Source>
   <StringValueLength>500</StringValueLength>
</JSONThreatProtection>

&lt;JSONThreatProtection&gt; एट्रिब्यूट

<JSONThreatProtection async="false" continueOnError="false" enabled="true" name="JSON-Threat-Protection-1">

यहां दी गई टेबल में, ऐसे एट्रिब्यूट के बारे में बताया गया है जो नीति के सभी पैरंट एलिमेंट में एक जैसे होते हैं:

एट्रिब्यूट ब्यौरा डिफ़ॉल्ट मौजूदगी
name

नीति का अंदरूनी नाम. name एट्रिब्यूट की वैल्यू ये काम कर सकती है: अक्षरों, संख्याओं, स्पेस, हाइफ़न, अंडरस्कोर, और फ़ुलस्टॉप को शामिल करें. यह मान नहीं हो सकता 255 वर्णों से ज़्यादा होने चाहिए.

इसके अलावा, नीति को लेबल करने के लिए, <DisplayName> एलिमेंट का इस्तेमाल करें प्रबंधन यूज़र इंटरफ़ेस (यूआई) प्रॉक्सी एडिटर को अलग, आम भाषा में इस्तेमाल करने वाले नाम के साथ किया जा सकता है.

 लागू नहीं ज़रूरी है
continueOnError

किसी नीति के काम न करने पर, गड़बड़ी दिखाने के लिए false पर सेट करें. यह उम्मीद है व्यवहार की जानकारी देने वाला डेटा.

नीति के लागू होने के बाद भी फ़्लो को एक्ज़ीक्यूट करने के लिए, इसे true पर सेट करें विफल होता है.

 गलत वैकल्पिक
enabled

नीति को लागू करने के लिए, true पर सेट करें.

नीति को बंद करने के लिए, false पर सेट करें. नीति लागू किया जाता है, भले ही वह किसी फ़्लो से जुड़ा रहता हो.

 सही वैकल्पिक
async

यह एट्रिब्यूट अब काम नहीं करता.

 गलत बहिष्कृत

&lt;DisplayName&gt; एलिमेंट

इस कॉलम में नीति को लेबल करने के लिए, name एट्रिब्यूट के साथ-साथ इस्तेमाल करें मैनेजमेंट यूज़र इंटरफ़ेस (यूआई) प्रॉक्सी एडिटर, जिसका नाम अलग और सामान्य भाषा में है.

<DisplayName>Policy Display Name</DisplayName>
डिफ़ॉल्ट

लागू नहीं

अगर आप इस एलिमेंट को छोड़ देते हैं, तो नीति की name एट्रिब्यूट की वैल्यू यह होगी इस्तेमाल किया गया.
मौजूदगी वैकल्पिक
टाइप स्ट्रिंग

&lt;ArrayElementCount&gt; एलिमेंट

यह बताता है कि किसी अरे में ज़्यादा से ज़्यादा कितने एलिमेंट जोड़े जा सकते हैं.

<ArrayElementCount>20</ArrayElementCount>
डिफ़ॉल्ट: अगर आप इस एलिमेंट को तय नहीं करते या अगर आप नेगेटिव पूर्णांक तय करते हैं, तो सिस्टम किसी सीमा को लागू नहीं करता.
मौजूदगी: वैकल्पिक
टाइप: पूर्णांक

&lt;ContainerDepth&gt; एलिमेंट

इससे, कंटेनमेंट की ज़्यादा से ज़्यादा गहराई की जानकारी मिलती है, जिसमें कंटेनर, ऑब्जेक्ट या अरे होते हैं. उदाहरण के लिए, अगर किसी ऑब्जेक्ट में एक ऑब्जेक्ट है, तो उस अरे के नतीजे में कंटेनमेंट होगा गहराई 3.

<ContainerDepth>10</ContainerDepth>
डिफ़ॉल्ट: अगर आप इस एलिमेंट को तय नहीं करते या अगर आप नेगेटिव पूर्णांक तय करते हैं, तो सिस्टम किसी सीमा को लागू नहीं करता.
मौजूदगी: वैकल्पिक
टाइप: पूर्णांक

&lt;ObjectEntryCount&gt; एलिमेंट

इससे पता चलता है कि किसी ऑब्जेक्ट में ज़्यादा से ज़्यादा कितनी एंट्री हो सकती हैं.

<ObjectEntryCount>15</ObjectEntryCount>
डिफ़ॉल्ट: अगर आप इस एलिमेंट को तय नहीं करते या अगर आप नेगेटिव पूर्णांक तय करते हैं, तो सिस्टम किसी सीमा को लागू नहीं करता.
मौजूदगी: वैकल्पिक
टाइप: पूर्णांक

&lt;ObjectEntryNameLength&gt; एलिमेंट

इससे पता चलता है कि किसी ऑब्जेक्ट में प्रॉपर्टी का नाम, स्ट्रिंग की ज़्यादा से ज़्यादा कितनी लंबाई हो सकती है.

<ObjectEntryNameLength>50</ObjectEntryNameLength>
डिफ़ॉल्ट: अगर आप इस एलिमेंट को तय नहीं करते या अगर आप नेगेटिव पूर्णांक तय करते हैं, तो सिस्टम किसी सीमा को लागू नहीं करता.
मौजूदगी: वैकल्पिक
टाइप: पूर्णांक

&lt;Source&gt; एलिमेंट

JSON पेलोड हमलों की जांच के लिए मैसेज. अक्सर यह इस पर सेट किया जाता है: request, क्योंकि आपको आम तौर पर क्लाइंट ऐप्लिकेशन से मिलने वाले इनबाउंड अनुरोधों की पुष्टि करनी होगी. message पर सेट करने पर, यह एलिमेंट अपने-आप अनुरोध वाले मैसेज की जांच करेगा अनुरोध के साथ अटैच किए जाने पर. साथ ही, जवाब के साथ अटैच होने पर, फ़्लो.

<Source>request</Source>
डिफ़ॉल्ट: CANNOT TRANSLATE
मौजूदगी: वैकल्पिक
टाइप:

स्ट्रिंग.

मान्य वैल्यू: अनुरोध, जवाब या मैसेज.

&lt;StringValueLength&gt; एलिमेंट

यह बताता है कि स्ट्रिंग की वैल्यू ज़्यादा से ज़्यादा कितनी लंबी हो सकती है.

<StringValueLength>500</StringValueLength>
डिफ़ॉल्ट: अगर आप इस एलिमेंट को तय नहीं करते या अगर आप नेगेटिव पूर्णांक तय करते हैं, तो सिस्टम किसी सीमा को लागू नहीं करता.
मौजूदगी: वैकल्पिक
टाइप: पूर्णांक

गड़बड़ी का रेफ़रंस

इस सेक्शन में, गड़बड़ी के कोड और गड़बड़ी के मैसेज के बारे में बताया गया है. साथ ही, इन गड़बड़ियों के वैरिएबल के बारे में भी बताया गया है, जो Edge की मदद से सेट किए जाते हैं. यह जानकारी जानना ज़रूरी है कि क्या आप गड़बड़ियों को ठीक करता है. ज़्यादा जानने के लिए, आपके लिए ज़रूरी जानकारी देखें नीति से जुड़ी गड़बड़ियों और हैंडलिंग के बारे में जानकारी गलतियां.

रनटाइम की गड़बड़ियां

नीति के लागू होने पर ये गड़बड़ियां हो सकती हैं.

गड़बड़ी कोड एचटीटीपी कोड स्थिति वजह ठीक करें
steps.jsonthreatprotection.ExecutionFailed 500 JSONHTMLProtection की नीति के तहत, कई अलग-अलग तरह की CancelutionFailed गड़बड़ियां हो सकती हैं. इस तरह की ज़्यादातर गड़बड़ियां तब होती हैं, जब नीति में सेट किया गया कोई थ्रेशोल्ड पार हो जाता है. ये इस तरह की गड़बड़ियां हो सकती हैं: ऑब्जेक्ट एंट्री के नाम की लंबाई, ऑब्जेक्ट की एंट्री की संख्या, अरे एलिमेंट की संख्या, कंटेनर की गहराई, स्ट्रिंग स्ट्रिंग की वैल्यू की लंबाई. यह गड़बड़ी तब भी होती है, जब पेलोड में अमान्य JSON ऑब्जेक्ट शामिल हो.
steps.jsonthreatprotection.SourceUnavailable 500 यह गड़बड़ी तब होती है, जब मैसेज <Source> एलिमेंट में दिया गया वैरिएबल या तो:
  • दायरे से बाहर (उस खास फ़्लो में उपलब्ध नहीं है जहां नीति लागू की जा रही है)
  • यह मान्य वैल्यू में से एक नहीं है request, response, या message
steps.jsonthreatprotection.NonMessageVariable 500 यह गड़बड़ी तब होती है, जब <Source> एलिमेंट किसी ऐसे वैरिएबल पर सेट होता है जो का प्रकार नहीं है मैसेज.

डिप्लॉयमेंट से जुड़ी गड़बड़ियां

कोई नहीं.

गड़बड़ी के वैरिएबल

ये वैरिएबल तब सेट किए जाते हैं, जब इस नीति की वजह से कोई गड़बड़ी होती है. ज़्यादा जानकारी के लिए, आपके लिए ज़रूरी जानकारी देखें नीति से जुड़ी गड़बड़ियों के बारे में जानकारी.

वैरिएबल कहां उदाहरण
fault.name="fault_name" fault_name गड़बड़ी का नाम है, जैसा कि ऊपर रनटाइम में गड़बड़ियां टेबल में बताया गया है. गड़बड़ी का नाम, गड़बड़ी के कोड का आखिरी हिस्सा होता है. fault.name Matches "SourceUnavailable"
jsonattack.policy_name.failed policy_name, उपयोगकर्ता की ओर से बताया गया उस नीति का नाम है जिसमें गड़बड़ी हुई है. jsonattack.JTP-SecureRequest.failed = true

गड़बड़ी के रिस्पॉन्स का उदाहरण

{
  "fault": {
    "faultstring": "JSONThreatProtection[JPT-SecureRequest]: Execution failed. reason: JSONThreatProtection[JTP-SecureRequest]: Exceeded object entry name length at line 2",
    "detail": {
      "errorcode": "steps.jsonthreatprotection.ExecutionFailed"
    }
  }
}

गड़बड़ी के नियम का उदाहरण

<FaultRule name="JSONThreatProtection Policy Faults">
    <Step>
        <Name>AM-CustomErrorResponse</Name>
        <Condition>(fault.name Matches "ExecutionFailed") </Condition>
    </Step>
    <Condition>(jsonattack.JPT-SecureRequest.failed = true) </Condition>
</FaultRule>

स्कीमा

इस्तेमाल की जानकारी

एक्सएमएल पर आधारित सेवाओं की तरह, JavaScript ऑब्जेक्ट नोटेशन (JSON) के साथ काम करने वाले एपीआई हमले को बढ़ावा दिया गया हो. JSON पर आसानी से होने वाले हमले, ऐसे स्ट्रक्चर का इस्तेमाल करने की कोशिश करते हैं जो बहुत ज़्यादा JSON पार्सर पर असर डालते हैं का इस्तेमाल किया जा सकता है. सभी सेटिंग यह ज़रूरी नहीं है. साथ ही, इसे आपकी सेवा की ज़रूरतों को पूरा करने के लिए बनाया जाना चाहिए. जोखिम की आशंकाएं.

मिलते-जुलते विषय

JSONtoXML नीति

XMLStarProtection की नीति

regularexpressionProtection की नीति